Rozdział 5. Wspólne hosty
Ujawnienie danych sesjiNa wspólnym hoście zabezpieczenia nigdy nie są tak szczelne, jak na hoście dedykowanym. Jest to kompromis, który trzeba zaakceptować w zamian za niewygórowaną cenę. Jednym z największych niebezpieczeństw, jakie wiążą się z używaniem wspólnych hostów jest wspólny magazyn sesji. Domyślnie PHP przechowuje dane sesji w lokalizacji /tmp i dotyczy to każdego. Ludzie natomiast mają tendencję do pozostawania przy...
Rozdział 4. Sesje PHP
Ustanawianie sesjiBezpieczeństwo sesji to bardzo szeroka dziedzina i nic dziwnego, że sesje są bardzo częstym celem ataków. Większość z nich polega na podszywaniu się pod kogoś, tzn. atakujący próbuje zdobyć dostęp do sesji innego użytkownika udając, że nim jest.Najważniejszą rzeczą dla napastnika jest identyfikator sesji, bez którego nie da się pod nikogo podszyć. Trzy najpopularniejsze metody zdobywania identyfikatorów sesji...
Rozdział 3. Zabezpieczanie baz danych i SQL
Ujawnione dane uwierzytelniające Większość aplikacji PHP korzysta z baz danych. Najczęściej aplikacja łączy się z wybraną bazą, a następnie dokonuje w niej uwierzytelnienia przy użyciu danych uwierzytelniających: <?php $host = 'example.org'; $username = 'nazwaużytkownika'; $password = 'hasło'; $db = mysql_connect($host, $username, $password); ?> Kod ten może znajdować się w pliku o nazwie db.inc dołączanym do aplikacji zawsze,...
Rozdział 2. Przetwarzanie formularzy
Spoofing zatwierdzania formularzyAby zrozumieć jak ważne jest filtrowanie danych, spójrz na poniższy formularz, który mógłby znajdować się pod adresem http://example.org/form.html: <form action="/process.php" method="POST"> <select name="color"> <option value="red">czerwony</option> <option value="green">zielony</option> <option...
Rozdział 1. Bezpieczeństwo – informacje ogólne
Co to jest bezpieczeństwo? Bezpieczeństwo to miara, nie cecha. W wielu projektach programistycznych bezpieczeństwo określa się tylko jako prosty wymóg, który trzeba spełnić. Czy to jest bezpieczne? To pytanie jest tak samo subiektywne, jak pytanie czy coś jest gorące. Bezpieczeństwo musi być zrównoważone z kosztami. W większości aplikacji uzyskanie względnie wysokiego poziomu zabezpieczeń jest dość łatwe. Jednak w przypadku aplikacji...
Przewodnik po zabezpieczeniach aplikacji PHP
Przewodnik po zabezpieczeniach aplikacji PHP organizacji PHP Security Consortium. Kurs zawiera informacje na temat najważniejszych zagrożeń aplikacji PHP oraz technik ich eliminowania.